Pesquisadores de segurança cibernética lançam nova ferramenta de caça a malware, o YARAify
Um grupo de pesquisadores de segurança do Abuse.ch e do ThreatFox lançou um novo hub para varredura e busca de arquivos.
Apelidado de YARAify, a ferramenta defensiva foi projetada para verificar arquivos suspeitos em um grande repositório de regras YARA.
“YARA é uma ferramenta de código aberto para correspondência de padrões”, disse o fundador do Abuse.ch, Roman Hüssy, em entrevista ao The Daily Swig. “Ele permite que qualquer pessoa […] escreva suas próprias regras para detectar [problemas], como arquivos maliciosos ou suspeitos.”
O YARAify pode escanear arquivos usando regras YARA públicas e integrar regras YARA públicas e não públicas da Malpedia, que é operada pelo Fraunhofer Institute na Alemanha.
Além disso, os pesquisadores podem usar a ferramenta para digitalizar arquivos usando assinaturas abertas e comerciais do ClamAV, configurar regras de busca para corresponder tanto às regras YARA quanto às assinaturas ClamAV e vincular o YARAify a outras ferramentas por meio de interfaces de programação de aplicativos (APIs).
De acordo com Hüssy, o YARAify foi criado para facilitar o manuseio das regras do YARA, que ele descreveu como poderosas, mas difíceis de manusear.
Antes do lançamento do YARAify, os caçadores de malware precisavam encontrar regras YARA em plataformas e repositórios git, sem uma maneira direta de compartilhá-las e sem convenção de nomenclatura consistente (levando a duplicatas).
“Decidimos lançar a plataforma YARAify ao público para permitir que qualquer pessoa compartilhe suas regras YARA com a comunidade de maneira estruturada e as use para caçar arquivos suspeitos e maliciosos vistos no universo Abuse.ch”, concluiu Hüssy.
Para contextualizar, as regras da YARA foram usadas por várias organizações e indivíduos no passado e ajudaram vários pesquisadores de segurança a identificar ameaças perigosas.
Por exemplo, em fevereiro de 2021, a FireEye usou as regras da YARA durante os eventos relacionados à violação de dados. A ferramenta também foi usada meses depois pela Microsoft para encontrar evidências do infame botnet Emotet.
